微软官方文档
Event Tracing - Win32 apps | Microsoft Docs
与 antw 相关的工具(目前大多用于对帐管理人提供者查询)
Event Tracing Tools - Win32 apps | Microsoft Docs
简述:
Windows事件跟踪系统(etw)。它由三个单元组成:事件提供者(提供者)、控制者(控制者)和消费者(消费者)。典型的程序员经常利用系统活动来倾听文件操作等内容。注册表操作。因此,我们通常写的代码是消费者代码。因此,事件提供者不会向订阅者发送信息。所以我们要建立一个控制控制器 来启动这个事件允许消费者接受该活动。
因此,我们将创建一个控制器和一个消费者, 要么在同一程序里,要么在两个应用中。
主计长的实现
commonDef.h
**********
微软官方文件中的指南无法倾听事件, 消费者的回报从未被调用,
***********
main.c
testController.cpp
pSessionProperties->LogFileMode设置位EVENT_TRACE_REAL_TIME_MODE表示实时监听,而不是存储为文件
重命名由上述代码生成的程序 。
消费者理解。
main.c
testConsumer.cpp
实现主计长和消费者目标的方案。然而,在改变之后,方案比特的重新命名,以及方案比特和子包的重新命名。要打开控制器, 您必须先运行它 。之后,经营消费者订阅。
注意事项
- pSessionProperties->LogFileMode = EVENT_TRACE_REAL_TIME_MODE;表示实时监控,如果不是实时监控,您必须配置日志文件NameAffset 。然后复制文件路径到 Offest 的位置 。
- pSessionProperties->Wnode.Guid = SessionGuid;表示自己的控制器对应的guid,如果重复打开会报错183
- Starttrace的第二个选项是会话名称,如上图所示,消费者将在此日志名称下打开。
- 我不知道你在说什么,但我不知道你在说什么, 但我不知道你在说什么。LoggerName = (LPWSTR) LOSSISION_NAME; 与整个主计长设置相同
- 我不确定您在说什么, Trace. process TradeMode = process_TRACE_MODE_vente_RECORD process_TRACE_MODE_REAL_TIME; 对于实时记录, 使用 process_TRACE_MODE_REAL_TIME 。主计长是同一件事。
- 如果进程跟踪成功, 线索就会被堵住, 因为知道主计长已经完成, 或缓存回回信错误返回 。
- Tw文档的指南可通过微软查阅,也属于软类。但是,如果控制器 直接使用guid,当你在消费者中援引过程追踪时,它只是挂着。没有 processEvent 的打印 。ProcessEvent 打印了通过用户日志检查的 quiid 。